Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6以降でNVEのオンボードキー管理を有効にする

共同作成者 netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDF

オンボードキーマネージャを使用して、暗号化されたデータにアクセスするためにクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

タスクの内容

このコマンドは、クラスタにノードを追加するたびに実行する必要があり `security key-manager onboard sync`ます。

MetroCluster構成の場合は、同じパスフレーズを使用して最初にローカルクラスタでコマンドを実行してから、リモートクラスタでコマンドを実行する security key-manager onboard sync`必要があります `security key-manager onboard enable。ローカルクラスタからコマンドを実行したあとにリモートクラスタで同期する場合、 security key-manager onboard enable`リモートクラスタからコマンドを再度実行する必要はありません `enable

詳細はこちら `security key-manager onboard enable`そして `security key-manager onboard sync`の中で"ONTAPコマンド リファレンス"

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。オプションを使用すると、リブート後にユーザにパスフレーズの入力を求めることができます cc-mode-enabled=yes

NVEでは、を設定する cc-mode-enabled=yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。で `volume create`は、を指定する必要はありません `-encrypt true。で volume move start`は、を指定する必要はありません `-encrypt-destination true

保存データの暗号化を設定する場合は、Commercial Solutions for Classified(CSfC)の要件を満たすために、NVEとNSEを使用し、オンボード キー マネージャがCommon Criteriaモードで有効にする必要があります。見る"CSfC 解決策 Brief ( CSfC の概要"

メモ

オンボードキーマネージャがCCモードで有効になっ(`cc-mode-enabled=yes`ている場合)、システムの動作が次のように変更されます。

  • システムは、情報セキュリティ国際評価基準モードで動作しているときに、クラスタパスフレーズの連続した失敗を監視します。

    クラスター パスフレーズの入力に 5 回失敗した場合は、24 時間待つか、ノードを再起動して制限をリセットします。

  • システムイメージの更新では、通常のNetApp RSA-2048コード署名証明書とSHA-256コード署名ダイジェストの代わりに、NetApp RSA-3072コード署名証明書とSHA-384コード署名ダイジェストを使用してイメージの整合性をチェックします。

    アップグレード コマンドは、さまざまなデジタル署名をチェックして、イメージの内容が変更されていないか、または破損していないかを確認します。検証が成功した場合、システムはイメージ更新プロセスの次のステップに進みます。それ以外の場合、イメージの更新は失敗します。詳細はこちら `cluster image`の中で"ONTAPコマンド リファレンス"
メモ オンボード キー マネージャは揮発性メモリにキーを格納します。揮発性メモリの内容はシステムのリブート時または停止時にクリアされます。システムは停止すると 30 秒以内に揮発性メモリをクリアします。
開始する前に

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボードキーマネージャを設定する前に、MetroCluster環境を設定する必要があります。

手順

  1. キー管理ツールのセットアップを開始します。

    security key-manager onboard enable -cc-mode-enabled yes|no

    メモ

    リブート後にユーザにキー管理ツールのパスフレーズの入力を求めるように設定し `cc-mode-enabled=yes`ます。NVEでは、を設定する `cc-mode-enabled=yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。この `- cc-mode-enabled`オプションはMetroCluster構成ではサポートされません。 `security key-manager onboard enable`コマンドは、コマンドに置き換わるもの `security key-manager setup`です。

  2. 32 〜 256 文字のパスフレーズを入力します。「cc-mode」の場合は 64 〜 256 文字のパスフレーズを入力します。

    メモ

    指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. 認証キーが作成されたことを確認します。

    security key-manager key query -key-type NSE-AK

    メモ 
    `security key-manager key query`コマンドは、コマンドに置き換わるもの `security key-manager query key`です。

    の詳細については security key-manager key query、を"ONTAPコマンド リファレンス"参照してください。

  5. オプションで、プレーン テキスト ボリュームを暗号化されたボリュームに変換できます。

    volume encryption conversion start

    ボリュームを変換する前に、オンボードキーマネージャの設定が完了している必要があります。MetroCluster環境では、両方のサイトでオンボードキーマネージャを設定する必要があります。

終了後

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーします。

オンボード キー マネージャーのパスフレーズを設定した後、その情報をストレージ システム外部の安全な場所に手動でバックアップします。見る"オンボードキー管理情報の手動でのバックアップ"

関連情報